010 323 2007

NIS2: Wie is de baas?

NIS2: Wie is de baas?

Kennisbank » NIS2: Wie is de baas?

De komst van de controlefunctionaris 

Met de komst van de NIS2-richtlijn en de implementatie daarvan, geregeld in de Cyberbeveiligingswet (hierna: Cbw), krijgt Nederland te maken met een nieuwe toezichtsfunctionaris, namelijk de controlefunctionaris uit de NIS2. In deze bijdrage vertel ik wat de rol inhoudt en hoe die zich verhoudt met de CISO en de FG. 

Vanaf 202kan op grond van artikel 70 Cbw zo’n controlefunctionaris aangewezen worden bij essentiële entiteiten, zoals overheidsinstellingen door de bevoegde autoriteit (de toezichthoudende instantie die binnen de betreffende sector verantwoordelijk is voor naleving van wet- en regelgeving) bij organisaties die vermoedelijk niet voldoen aan hun wettelijke zorgplicht of meldplicht. Essentiële entiteiten zijn organisaties die zó belangrijk zijn voor onze maatschappij of economie, dat hun digitale weerbaarheid onder streng toezicht valt volgens de NIS2-richtlijn. 

Na de (Chief) Information Security Officer ((C)ISO) onder de Baseline Informatiebeveiliging Overheid (BIO) en de Functionaris Gegevensbescherming (FG) onder de Algemene Verordening Gegevensbescherming (AVG), lijkt er opnieuw een belangrijke speler te verschijnen op het toneel van toezicht en naleving. Wat betekent dit voor organisaties? Hoe verhoudt de controlefunctionaris zich tot deze al bestaande functies binnen de organisatie?

Wie is een controlefunctionaris uit de NIS2?  

De controlefunctionaris is geen interne medewerker die je zelf aanstelt, maar een tijdelijk toezichthouder die door de bevoegde autoriteit kan worden opgelegd. Deze bevoegdheid vloeit rechtstreeks voort uit artikel 32 lid 4 sub g NIS2 en kan worden toegepast op grond van artikel 70 Cbw. 

De controlefunctionaris wordt uitsluitend ingezet bij essentiële entiteiten en heeft als doel om naleving van: 

  • De zorgplicht (artikel 21 Cbw/artikel 21 NIS2). 
  • De meldplicht (artikelen 25 t/m 30 Cbw/artikel 23 NIS2) 
    te monitoren en bevorderen. 

De functionaris kan daarom gezien worden als een handhavingsinstrument; de controlefunctionaris wordt pas aangesteld als er sterke aanwijzingen zijn dat een essentiële entiteit haar wettelijke verplichtingen niet nakomt. 

De controlefunctionaris: 

  • Monitort de naleving van wettelijke verplichtingen; 
  • Informeert zowel het bestuur van de organisatie als de bevoegde autoriteit over de bevindingen; 
  • Functioneert onafhankelijk binnen de organisatie; 
  • Mag geen belangenconflict hebben of deel uitmaken van het hoger management.
De essentiële entiteit blijft zelf volledig verantwoordelijk voor de uitvoering van haar verplichtingen. De controlefunctionaris neemt geen taken over, maar ziet toe op correcte naleving. De kosten van deze aanwijzing komen op grond van artikel 70 lid 3 Cbw voor rekening van de betrokken organisatie.

Vergelijking met bestaande toezichtsrollen 

De komst van de controlefunctionaris voegt zich in een landschap waar al meerdere toezichtsrollen bestaan. De drie functies kunnen naast elkaar bestaan, maar hun mandaat, positie en verantwoordelijkheden verschillen fundamenteel. Een FG mag niet tegelijk CISO of controlefunctionaris zijn, omdat die functies gaan over uitvoering of toezicht van beleid waarover de FG juist onafhankelijk moet adviseren. De CISO kan ook niet tevens FG of controlefunctionaris zijn. Dat zou leiden tot een belangenconflict en is strijdig met de vereisten van onafhankelijkheid uit de AVG en Cbw. De controlefunctionaris mag evenmin FG of CISO zijn, omdat de toezichtdoelen niet gelijk zijn.De CISO voert uit, de FG adviseert en houdt toezicht op AVG-vereisten, de controlefunctionaris houdt extern toezicht op naleving van NIS2-verplichtingen. Die drie rollen moeten dus gescheiden blijven voor een juridisch juiste governance-structuur. 

Praktische tips 

  1. Zorg voor aantoonbare naleving van de zorgplicht (artikel 21 Cbw): Leg beleid, risicoanalyses en beveiligingsmaatregelen goed vast.  
  2. Actualiseer meldprocedures: Meld significante incidenten als bedoeld in de NIS2 tijdig en volledig volgens artikelen 25-30 Cbw. Het niet tijdig melden van een significant incident in de zin van NIS2 is een belangrijke reden voor aanwijzing van een controlefunctionaris. 
  3. Borg onafhankelijk advies binnen de organisatie: Betrek de CISO en FG vroegtijdig bij processen en besluiten. Hun adviezen kunnen aantonen dat toezicht en naleving intern goed geregeld zijn. 
  4. Wees voorbereid op toezicht: Een aanwijzing van de controlefunctionaris is een bestuursrechtelijk besluit waartegen bezwaar en beroep mogelijk is (artikel 70 MvT Cbw), maar voorkomen is beter dan genezen. 
  5. Budgeteer tijdig: Reserveer tijdig budget voor de implementatie van de NIS2. De SOC-/SIEM-diensten zijn kostbaar en de specialisten die dit moeten realiseren en beheren zijn schaars en niet altijd beschikbaar als iedereen tegelijk hiermee aan de slag gaat. 

Voorkomen is beter dan genezen 

De aanwijzing van een controlefunctionaris is een ingrijpende maatregel. Het is daarom raadzaam om nu al te beoordelen of jouw organisatie voldoet aan de zorgplicht en meldplicht van de Cbw.

Kom je er zelf niet uit hoe jouw organisatie haar verplichtingen onder de NIS2 en Cbw moet invullen? 

Wij helpen je graag om een compliancetoets en interne governance-analyse uit te voeren, zodat je een eerste stap kunt zetten naar aantoonbare naleving. 

Neem contact op met Privacy United om te bespreken wat dit voor jouw organisatie betekent. Contact opnemen kan viainfo@privacyunited.com. 

Publicatiedatum: 10 november 2025 

Auteur: Guusje Emmen, Privacy Officer bij Privacy United

Envelope Linkedin

Privacy United is een snelgroeiende organisatie die met passie reeds haar sporen heeft verdiend voor klanten in de zorg- en onderwijssector. Onze gepassioneerde professionals  bieden diverse diensten rondom privacy, security en IT governance op één plek aan en gaan door totdat u tevreden bent. Samen met ons krijgt u overzicht en grip op uw organisatie.

Logo SBB
Logo CISM
Logo CIPP
Logo CISSP
versie 2
LOGO SNA-FC-def-C

Over ons

Belangrijke links

Contact

info@privacyunited.com
010 323 2007

Prins Alexanderplein 8
3067 GC Rotterdam

KvK: 80046746
BTW: NL861538833B01
IBAN: NL37 INGB 0006 2235 53 (betaalrekening) 
IBAN: NL39 INGB 0991 0042 80 (G-rekening)

Linkedin Youtube